Thema: (Gelöst) Einbruch ins LAN? Ungewöhnliche DHCP Anfragen

Heute hab ich mal den gesamten Netzwerkverkehr mit tcpdump mitgenschnitten. Folgendes kam dabei (mehrmals) zu Tage:

Code:

11:04:26.347609 IP 0.0.0.0.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from 00:10:83:77:dd:6e (oui Unknown), length: 548
11:05:01.948893 IPX 00000000.00:10:83:77:dd:6e.0452 > 00000000.ff:ff:ff:ff:ff:ff.0452: ipx-sap-resp IntelNetport2/HP JetDirect/HP Quicksilver '00108377DD6E80CXNPI77DD6E' addr 00000000.00:10:83:77:dd:6e

00:10:83:77:dd:6e ist die MAC-Adresse, die es eigentlich nicht geben dürfte.
Zu "ipx-sap-resp" hab ich folgendes im Internet gefunden:

"The Novell IPX protocol uses Service Advertiser Protocol (SAP) announcements to advertise services to end users. A type code is used within the SAP advertisement to specify the type of service that is available.

A listing of commonly used IPX SAP type codes is maintained by the Internet Assigned Numbers Authority (IANA). The information presented here is reproduced with permission from the IANA. For the most current SAP type code number assignment information, refer to http://www.iana.org/numbers.htm under the "Novell SAP Numbers" link. Table J-1 shows the SAP type code numbers in both decimal and hexadecimal."

Quelle: Default Safari Online - 1587050242 - Cisco® Field Manual: Router Configuration

Hast du Drucker in deinem Netzwerk und sind die zufälliig von HP und wenn diese dann auch noch zufällig als Netzwerkdrucker konfiguriert sind würde dieses zumindestens den eintrag HP erklären . Und der Verkehr der oder drucker (s) läuft uber die Karte 0 wenn diese intern geschaltet ist .

MfG

BOOTLEG

Zitat von BOOTLEG

Hast du Drucker in deinem Netzwerk und sind die zufälliig von HP und wenn diese dann auch noch zufällig als Netzwerkdrucker konfiguriert sind würde dieses zumindestens den eintrag HP erklären . Und der Verkehr der oder drucker (s) läuft uber die Karte 0 wenn diese intern geschaltet ist .

Ja, es gibt zwei Drucker, aber keiner davon ist ein netzwerkfähiger Drucker. Die hängen beide an der parallelen Schnittstelle. Allerdings sind beide im Windows-Netz freigegeben. Einer davon ist von HP.

Was fängt ein Drucker, der an der parallelen Schnittstelle hängt, mit einer IP-Adresse an? Und wenn der eine, warum dann nicht der andere auch? Der ist von Ricoh.

Also ich würde mal sagen das ein Drucker im Netzwerk eine Adresse oder auch auch Hausnr. brauch und das ist meines wissens die IP wie sonst sollen denn die anderen Rechner diesen finden wenn sie was Drucken sollen ?

Warum der Ricoh.nicht auftaucht ist eine gute frage aber vielleicht deshalb weill er nicht als Standart Drucker definiert ist und bis dato deswegen nicht aktiv wurde . Aus dem Netzwek angesteuert meine ich .

Aber man kann das ja feststellen die HP einträge sollten immer dann auftauchen wenn er benutzt wird im Netzwerk meine ich .

MfG

BOOTLEG

BOOTLEG, Du hast ins Schwarze getroffen!

Da ich neu in der Firma bin, und wir alle nur über den PC einer Kollegin auf den HP-Drucker drucken, dachte ich, der wäre ein ganz normaler Arbeitsplatz-Drucker.

Aber ich hab gerade nachgesehen und Kabel verfolgt und bin tatsächlich bei einem Netzwerkanschluß geladet. PROBLEM GELÖST!

Ich kann euch sagen, ich bin erleichtert. :-)

Dann bleibt mir nur noch Folgendes:

1. BOOTLEG zu seiner guten Spürnase zu gratulieren

und

2. -ebenfalls erleichtert- hier das Licht auszumachen.

=> Closed.

Greetz,

RM

Nachtrag:

Da ich gerade sehe, daß BOOTLEG noch eine Antwort schreibt, lasse ich mal noch offen.

Nachtrag die 2. So, nu aber

Sollte hier doch noch weiterer Diskussionsbedarf bestehen, dann bitte PN an mich.

Dann hast du Glück gehabt das es ein Separates Anschluß Kabel gibt das ist aber meines wissen nicht unbedingt nötig . Weil mann jeden Drucker unter XP im Netzwerk als Netzwerkdrucker freigenkann dann kann man aber dann auch in den XP Einstellungen nachvollziehen .

MfG

BOOTLEG